2015年6月1日 日本年金機構から125万件の個人情報が流出したと発表がありました。情報の管理において多くの批判が寄せられています。また漏えいの経緯についてもさまざまな報道がなされていますが、漏洩の原因が今ひとつわかりにくいので当サイトでも整理してみました。
【日本年金機構の個人情報流出事件についてのポイント】
・今回の脅威は「標的型攻撃メール」
・個人情報を保管している社会保険オンラインシステムは侵入されていない
・基礎年金番号や住所、氏名等は個人特定できないように分散保管されている
年金情報などを管理している社会保険オンラインシステムは、万が一、侵入されて情報が漏えいしても誰の情報かを特定できないので、今回の様な漏えいはあり得ないはず。では、なぜ今回の様な流出事件になったのか?
実際の所は、驚くべきことに、安全な基幹システムからDVD等にデータの一部を抽出し、別の共有サーバにパスワードやアクセス制限をかけず格納、そしてあろうことか、インターネット(公衆網)に接続したメール等を受信するPCで共有サーバのデータを扱っていたとのこと。
いわゆるマルウェアを添付した標的型攻撃メールは、アンチウィルスソフトやファイアウィールで防ぐのは現状ではほぼ不可能です。不用意に添付メールを開くのが悪いという意見もありますが、メールの内容はかなり巧妙に作成されており、セキュリティに注意深い人でもうっかり開いてしまうくらいです。
今回、添付メールを開いた人の「添付を開いた」ことのみに関しては責任は軽いかもしれませんが、データにパスワードをかけていない点やネット接続した端末で作業したという点は、もはやセキュリティ対策の体をなしていない重大な内規違反であり、杜撰(ずさん)といわざるを得ないでしょう。
古い基幹システム内での作業は、現実的ではありません。だからといって抽出したデータに制限をかけず共有サーバ上に置き、インターネットに接続した端末でそれらを扱っていたとなると、どんな安全なシステムを構築しても情報は守れません。